シャーシ クラスタ上のIPアドレスの監視

IP監視は、設定されたIPアドレスのエンドツーエンドの接続性をチェックし、監視対象のIPアドレスが冗長イーサネット(reth)インターフェイスを介して到達できない場合に、冗長性グループが自動的にフェイルオーバーできるようにします。シャーシ クラスタ内のプライマリ ノードとセカンダリ ノードの両方が特定の IP アドレスを監視して、ネットワーク内のアップストリーム デバイスに到達可能かどうかを判断します。

IP監視では、設定された監視対象IPアドレスのエンドツーエンドの到達可能性に基づくフェイルオーバーが可能になります。SRXシリーズファイアウォールでは、到達可能性テストは、rethインターフェイスを介してプライマリノードとセカンダリノードの両方から監視対象IPアドレスにpingを送信し、応答が返されるかどうかを確認することによって行われます。監視対象のIPアドレスは、rethインターフェイスと同じサブネット内の直接接続されたホスト、またはネクストホップルーターを介して到達可能なリモートデバイス上に配置できます。

監視対象 IP アドレスの到達可能性の状態は、到達可能、到達不能、および不明です。パケット転送エンジンがまだ稼働していない場合、ステータスは「不明」になります。ステータスは、パケット転送エンジンからの対応するメッセージに応じて、「到達可能」または「到達不能」に変わります。

SRXシリーズファイアウォールの冗長グループ0(RG0)でシャーシクラスターIP監視を設定することは推奨しません。

表1 は、プライマリノードとセカンダリノードの両方からの監視結果のさまざまな組み合わせと、Juniper Services Redundancy Protocol(jsrpd)プロセスによる対応するアクションの詳細を示しています。

表 1:IP 監視結果とフェールオーバー アクション

プライマリ ノードの監視対象ステータス	セカンダリ ノードの監視対象ステータス	フェールオーバー アクション
リーチャブル	リーチャブル	アクションなし
到達 不能	リーチャブル	フェイルオーバー
リーチャブル	到達 不能	アクションなし
到達 不能	到達 不能	アクションなし

• SRX5000シリーズ デバイスでは、IP監視用に最大64個のIPアドレスを設定できます。

• SRXブランチシリーズデバイスでは、rethインターフェイスに複数の物理インターフェイスが設定されている場合、冗長グループのIP監視はサポートされていません。SRXは、セカンダリノードでの追跡にバンドル内の最低レベルのインターフェイスを使用します。ピアが、返信を受信したポート以外のポートに返信を転送すると、SRXはそれを破棄します。

• IP 監視の最小間隔は 1 秒、最大間隔は 30 秒です。デフォルトの間隔は 1 秒です。

• IP 監視の最小しきい値は 5 要求、最大しきい値は 15 要求です。IP 監視要求が連続した要求 (しきい値を超える要求) に対する応答を受信しない場合、IP 監視は監視対象の IP に到達できないことを報告します。しきい値のデフォルト値は 5 です。

• IP監視CLI設定で冗長グループ(RG)に関連付けられていないRethインターフェイスがサポートされます。

表 2 は、IOC2 と IOC3 の複数のインターフェイスの組み合わせと最大 MAC 数の詳細を示しています。

表 2:IOC2 および IOC3 の IP 監視でサポートされる最大 MAC 数

カード	インターフェイス	IP監視でサポートされる最大MAC 数
IOC2(SRX5K-MPC)	10XGE	10
	20GE	20
	40GE X 2	2
	100GEx1	1
IOC3(SRX5K-MPC3-40G10G または SRX5K-MPC3-100G10G)	24x10GE	24
	40GE x 6	6
	2x100GE + 4x10GE	6

SRX5000シリーズIOC2およびIOC3でのIP監視サポートについては、以下の制限事項にご注意ください。

• IP監視は、rethまたはRLAGインターフェイスを介してサポートされます。設定でこれらのインターフェイスのいずれも指定していない場合、ルート検索は非reth/RLAGインターフェイスを返し、失敗レポートが生じます。

• IP 監視では、ECMP(等価コスト マルチパス)ルーティングはサポートされていません。

冗長グループIPアドレス監視は、エンドツーエンドの接続をチェックし、冗長イーサネットインターフェイス( rethと呼ばれる)が設定されたIPアドレスに到達できないため、冗長グループのフェイルオーバーを許可します。特定のIPアドレスを監視して、ネットワーク内のアップストリームデバイスが到達可能かどうかを判断するように、クラスタ内の両デバイス上の冗長グループを設定できます。冗長性グループは、監視対象のIPアドレスに到達できなくなった場合、冗長性グループがバックアップにフェイルオーバーしてサービスを維持するように設定できます。この監視機能とインターフェイス監視の主な違いは、IPアドレス監視では、インターフェイスがまだ稼働しているが、接続されているネットワークデバイスが何らかの理由で到達できない場合にフェイルオーバーできることです。このような状況では、クラスタ内の他のノードが、問題を回避するトラフィックをルーティングできる可能性があります。

IPアドレス監視の失敗が原因で発生するフェイルオーバーを抑制するには、 hold-down-interval ステートメントを使用します。

IP アドレス監視構成では、監視するアドレスとそのフェイルオーバーの重みだけでなく、グローバル IP アドレス監視のしきい値と重みも設定できます。累積監視アドレス到達可能性障害が原因で IP アドレス監視グローバルしきい値に達した場合にのみ、IP アドレス監視グローバル重み値が冗長グループのフェイルオーバーしきい値から差し引かれます。したがって、複数のアドレスを同時に監視することも、トラフィックフローを維持する上での重要性を反映するように監視することもできます。また、到達不能であったIPアドレスの閾値が、その後再び到達可能になった場合も、監視閾値に復元されます。ただし、プリエンプト オプションが有効になっていない限り、フェイルバックは発生しません。

設定されている場合、IP アドレス監視フェイルオーバー値(グローバル重み)は、インターフェイス監視(設定されている場合)および SPU 監視、コールド同期監視、NPC 監視(サポートされているプラットフォーム)などの組み込みフェイルオーバー監視とともに考慮されます。監視する必要がある主な IP アドレスは、サービス ゲートウェイに着信する有効なトラフィックを適切なネットワーク ネットワークルーターに転送できるようにするためのルータ ゲートウェイ アドレスです。

Junos OS リリース 12.1X46-D35 および Junos OS リリース 17.3R1 以降、すべての SRXシリーズファイアウォールで、reth インターフェイスがプロキシ ARP をサポートしています。

ノードごとに 1 つのサービス処理ユニット(SPU)またはパケット転送エンジン(PFE)が指定され、クラスタ上の監視対象 IP アドレスに対して ICMP(Internet Control Message Protocol)ping パケットを送信します。プライマリーPFEは、ルーティングエンジン(RE)によって解決されたアドレス解決プロトコル(ARP)リクエストを使用して、pingパケットを送信します。これらのpingの送信元は、冗長イーサネットインターフェイスのMACアドレスとIPアドレスです。セカンダリPFEは、監視対象IPアドレス自体のARP要求を解決します。これらのpingの送信元は、物理子MACアドレスと、冗長イーサネットインターフェイスに設定されたセカンダリIPアドレスです。セカンダリ インターフェイスで ping 応答を受信するために、I/O カード(IOC)、中央 PFE プロセッサ、または Flex IOC は、物理子 MAC アドレスと冗長イーサネット インターフェイス MAC アドレスの両方を MAC テーブルに追加します。セカンダリPFEは、冗長イーサネットインターフェイスで設定されたセカンダリIPアドレスに送信されたARPリクエストに、物理子MACアドレスで応答します。

手記：

SRX5000シリーズデバイスでは、VPNルーティングおよび転送(VRF)インスタンス用に冗長イーサネットインターフェイスが設定されている場合、IPアドレス監視はサポートされません。

監視対象IPアドレスの到達可能性を確認するデフォルトの間隔は、1秒に1回です。間隔は、 retry-interval コマンドを使用して調整できます。ping の連続失敗試行のデフォルト回数は 5 回です。ping の連続失敗回数は、 retry-count コマンドを使用して調整できます。設定された連続試行回数にわたって監視対象IPアドレスに到達できなかった場合、IPアドレスは到達不能と判断され、そのフェイルオーバー値は冗長グループのグローバルしきい値から差し引かれます。

SRX5600およびSRX5800デバイスでは、40ポートの1ギガビットイーサネットI/Oカード(IOC)の各PIC上の10ポートのうち2つだけが同時にIPアドレス監視を有効にできます。IOCごとに4つのPICがあるため、IOCごとに合計8つのポートを監視できます。40ポートの1ギガビットイーサネットIOCでPICごとに2つ以上のポートがIPアドレス監視用に設定されている場合、コミットは成功しますが、ログエントリが生成され、IPアドレス監視の精度と安定性は保証されません。この制限は、他のIOCやデバイスには適用されません。

IP アドレスが到達不能と判断されると、その重みがグローバルしきい値から差し引かれます。再計算された global-threshold 値が 0 でない場合、IP アドレスは到達不能とマークされますが、グローバル重みは冗長グループのしきい値から差し引かれません。冗長グループ IP モニタリングのグローバルしきい値が 0 に達し、到達不能な IP アドレスがある場合、到達不能な IP アドレスが到達可能になるか、設定変更によって到達不能な IP アドレスが監視から削除されるまで、冗長性グループはノード間で継続的にフェールオーバーとフェールバックを行います。デフォルトおよび設定された両方のホールドダウン間隔フェイルオーバー減衰は引き続き有効であることに注意してください。

すべての冗長グループ x には 、初期状態では 255 に設定されたしきい値許容値があります。冗長グループ x によって監視されている IP アドレスが使用できなくなると、その重みは冗長グループ x のしきい値から差し引かれます。冗長グループ x のしきい値が 0 に達すると、他のノードにフェールオーバーします。例えば、冗長性グループ1がノード0でプライマリだった場合、しきい値交差イベントで、冗長性グループ1がノード1でプライマリになります。この場合、冗長グループ1の冗長イーサネットインターフェイスのすべての子インターフェイスがトラフィックの処理を開始します。

冗長グループ x のフェイルオーバーが発生するのは、冗長グループ x の監視対象 IP アドレスおよびその他の監視の累積重みによってしきい値が 0 になったためです。両方のノードの冗長グループ x の監視対象 IP アドレスが同時にしきい値に達すると、ノード ID が下位のノード(通常はノード 0)で冗長グループ x がプライマリになります。

シャーシクラスター機能のアップストリームデバイス障害検知は、SRXシリーズファイアウォールでサポートされています。

Junos OS リリース 15.1X49-D60 および Junos OS リリース 17.3R1 以降では、SRX5000シリーズ デバイスでアドレス解決プロトコル(ARP)リクエスト スロットリングの設定がサポートされています。この機能を使用すると、以前にハードコードされた ARP 要求スロットリング時間のデフォルト(IP アドレスごとに SPU あたり 10 秒)をバイパスし、時間をより大きな値(10 〜 100 秒)に設定できます。スロットル時間を大きい値に設定することで、ルーティングエンジンの高い利用率を軽減し、より効率的に動作させることができます。 set forwarding-options next-hop arp-throttle <seconds> コマンドを使用して、ARP 要求スロットリング時間を設定できます。

監視は、IPアドレスが冗長イーサネットインターフェイス(CLIコマンドおよびインターフェイスリストではrethと呼ばれる)で到達可能であり、IPアドレスをトンネル経由で監視できない場合に限り実現できます。セカンダリ クラスタ ノード上の冗長イーサネット インターフェイスを介して IP アドレスを監視するには、インターフェイスにセカンダリ IP アドレスが設定されている必要があります。IPアドレス監視は、透過モードで実行されているシャーシクラスターでは使用できません。SRX5000シリーズファイアウォール、SRX1500、SRX1600、SRX2300、SRX4120、SRX4000シリーズファイアウォールでは、クラスターごとに構成できる監視IPアドレスの最大数は64です。

冗長グループ IP アドレスの監視は、IPv6 の宛先ではサポートされていません。

この例では、シャーシ クラスタ内のSRXシリーズファイアウォールに対して冗長グループIPアドレス監視を設定する方法を示しています。

この例では、シャーシ クラスタを有効にしたSRX5000シリーズ デバイスでIPアドレスを監視する方法を示しています。